headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

OWA в Exchange 2010- Exchange Control Panel (ECP) – RBAC

Мы уже смотрели в ранних статьях, какую функциональность предлагает нам OWA, теперь рассмотрим доступные в OWA опции, которые теперь вынесены в Exchange Control Panel или ECP.  В ECP представлены как новые функции для Exchange 2010 OWA, так и функции из предыдущих версий OWA.

Пользователи могут логиниться непосредственно в ECP используя адрес https://yoururl.com/ecp, либо могут перейти туда, залогинившись в OWA и нажав в правом верхнем углу кнопку Options .

exchnage2010_rbac1.jpg

На скриншоте сверху вы видите стандартный вид ECP для пользователей, однако он может быть изменен. В этой статье я не смогу показать все возможности, но пользователям может быть делегировано право создавать почтовые ящики, группы, контакты и многие другие задачи.

exchnage2010_rbac2.JPG

Этим возможностями управляет новая система управления ролями - Role Based Authentication Control (RBAC). Если говорить очень упрощенно, то RBAC определяет, какие команды доступны на выполнение пользователю или администратору.

Давайте рассмотрим такой пример:

 Пользователю доступны для изменения через ECP некоторые опции своего аккаунта.

exchnage2010_rbac3.jpg

В примере выше вы можете заметить, что вам недосупны для изменения поля Last Name, First Name, Email Address, и Display Name. Это означает, что по умолчанию пользователь не имеет возможности выполнять команды, изменяющие эти значения…..

Как мне узнать, какие возможности есть у пользователя?

Давайте запустим окно EMS и выполним команду get-mailbox brian.tirch  | fl role*

exchnage2010_rbac4.JPG

Как вы видите, моему почтовому ящику назначена политика по умолчанию.

Теперь посмотрим что из себя представляет данная политика, выполнив следующую команду Get-RoleAssignmentPolicy “default role assignment policy”

[PS] C:\>Get-RoleAssignmentPolicy “default role assignment policy”
   IsDefault         : True
   Description       : This policy grants end users permissions to set their Outlook Web App options and perform other se
   f-administration tasks.
   AdminDisplayName  :
   ExchangeVersion   : 0.11 (14.0.509.0)
   Name              : Default Role Assignment Policy
   Identity          : Default Role Assignment Policy
   RBAC-Policy
   IsValid           : True

Как мы видим, данная политика устанавливается по умолчанию для всех пользователей.

Теперь запустим следующую команду:

 Get-ManagementRoleAssignment

Данный командлет покажет нам все доступные роли, который довольно много. Давайте посмотрим какие роли применены в политике по умолчанию

Для этого выполним следующую команду

(Get-ManagementRoleAssignment | where {$_.roleassigneename -eq ‘Default role assignment policy’}) | ft Name,RoleassigneeName
Name                                                                                    Role                                                                    RoleAssigneeName
   —-                                                                                              —-                                                                    —————-
   MyBaseOptions-Default Role Assignmen…          MyBaseOptions                                               Default Role Assignment Policy
   MyContactInformation-Default Role As…           MyContactInformation                                Default Role Assignment Policy
   MyVoiceMail-Default Role Assignment …           MyVoiceMail                                                    Default Role Assignment Policy
   MyTextMessaging-Default Role Assignm…         MyTextMessaging                                            Default Role Assignment Policy
 MyDistributionGroupMembership-Defaul…      MyDistributionGroupMembership           Default Role Assignment Policy

Теперь мы знаем что в Default Role Assignment Policy используется комбинация из 5-ти ролей, но мы до сих пор не знаем что выполняет каждая из этих ролей.

Теперь используем ещё один командлет….

PS] C:\>Get-ManagementRole  my*
name                                                                             RoleType
   —                                                                                      ——–
   myBaseOptions                                                        MyBaseOptions
   myContactInformation                                       MyContactInformation
   myDiagnostics                                                         MyDiagnostics
   myDistributionGroupMembership                MytributionGroupMembership
   myDistributionGroups                                       MyDistributionGroups
   myProfileInformation                                        MyProfileInformation
   myRetentionPolicies                                           MyRetentionPolicies
   myTextMessaging                                                 MyTextMessaging
   myVoiceMail                                                          MyVoiceMail

Как вы можете видеть, есть дополнительные роли, которые на незначены по умолчанию в дефолтную политики, но которые созданы командой Exchange.

Более подробно посмотреть что входит в определенную роль можно командой:

Get-ManagementRole myBaseOptions | fl

В выводе этой команды очень много информации, я предлагаю вам посмотреть это самостоятельно. Но я приведу для пояснений небольшой кусок:

Set-MailboxSpellingConfiguration -CheckBeforeSend -Confirm -DictionaryLanguage -ErrorAction -ErrorVariable -Identity -IgnoreMixe
 dDigits -IgnoreUppercase -OutBuffer -OutVariable -WarningAction -WarningVariable -WhatIf,

Как мы видем, тут используется командлет Set-MailboxSpellingConfiguration, который позволяет пользователям модифицировать опции проверки правописания в Microsoft Office Outlook Web App. К примеру, вы можете устанавливать нужный вам язык и настраивать проверку на игнорирование цифр, слов в верхнем регистре и прочее..

Пользователь, у которого есть права на выполнение данного командлета, после залогинивания в ECP способен выполнять следующие действия:

exchnage2010_rbac5.JPG

Изменением роли вы можете запретить пользователю редактировать определенные опции проверки правописания, или вообще удалить этот командлет.

На этом сегодня все, в дальнейшем мы рассмотрим RBAC более полно.

Автор: Brian Tirch

Похожие посты
  • Бэкап Exchange 2010 и Exchange 2007 SP2 с помощью Windows Server Backup
  • Делегирование прав на установку Exchange Server 2010
  • Exchange 2010 OWA: редирект на устаревший URL с ошибкой HTTP 500 Error
  • Ошибка “An IIS directory entry couldn’t be created. The error message is Access is denied ” после установки Exchange 2010
  • Изменение Help URL в Exchange 2010
  • Экспорт и импорт почтового ящика в Exchange Server 2010. Powershell
  • Как узнать размер базы Exchange с помощью PowerShell
  • Правила журнала в панели управления ECP Exchange 2010 SP1
  • Установка необходимых компонент для Exchange 2010 в Windows 2008 SP2
  • Ошибка установки Exchange Server 2010 SP2